下载文档原格式
主动防御系统项目实施方案一、项目背景随着信息技术的快速发展和广泛应用,网络安全问题日益突出。
主动防御系统是指一种通过对网络进行实时监测和巡检,及时发现并处理网络威胁,防范安全风险,并能对网络攻击者进行追溯和定位的系统。
主动防御系统能够弥补传统安全防护的不足,加强对网络安全的监控和防护,提高整体安全性。
本项目就是以此为目标,基于当前的网络安全形势和需求,研发一款功能全面、防御力强大的主动防御系统。
二、项目目标1.系统能够实时监测网络流量,并对流量进行深度分析,定位潜在安全威胁;2.系统能够及时发出预警,并提供详细的威胁信息和处理建议;3.系统能够自动响应和处理网络攻击,并进行日志记录和报告生成;4.系统能够对网络攻击者进行溯源和定位,提供相关信息供追诉;5.系统具备扩展性能,能够适应不同规模、不同网络架构的部署;6.系统能够提供友好的用户界面和操作体验。
三、实施过程1.需求调研和分析在项目启动阶段,需组织专业团队进行需求调研,了解用户的具体需求和期望,明确系统的功能、性能和部署要求。
2.技术选型和系统设计根据需求分析的结果,针对主动防御系统的特点,进行技术选型和系统设计。
包括硬件设备的选取、软件平台的选择、系统架构的设计等。
3.系统开发和测试根据系统设计,进行系统开发和编码工作。
分阶段进行系统测试,包括功能测试、压力测试、安全性测试等。
在测试过程中及时发现和解决问题,确保系统的稳定性和安全性。
4.系统部署和集成完成系统开发和测试后,进行系统的部署和集成工作。
包括硬件设备的安装和调试,软件系统的安装和配置,各个模块之间的集成和互联。
5.运维培训和技术支持在系统部署完成后,组织相应的运维培训,培训用户对系统的使用和维护。
同时提供系统的技术支持和后期维护服务,保障系统的正常运行和及时更新。
6.项目验收在系统部署运行一段时间后,进行项目验收。
评估系统是否满足用户需求、功能是否完善、性能是否稳定等。
并进行用户满意度调查,从而进行项目总结和改进。
111一、天然气管网安全管理的意义分析天然气资源要通过管道来运输燃气,并且由于天然气的易爆、易燃的特点,进而就要在管道应用中,加强对管道维护管理,避免产生漏气等不良问题。
在长距离的输气阶段中,管道一般会深埋在地下。
当管道内部的气体较多时,会给管道带来较大的压力,造成管道会受到周围土壤及上方人为和自然腐蚀等多种因素的影响和干扰,而造成管道的损坏,这样会造成气体泄漏,以及引发火灾和爆炸的事故。
这样会给居民带来较大的生命危险,因此,保障输送管道的安全是减少天然气风险的重要措施以及也是预防天然气爆炸事故发生的重要手段。
燃气的运输安全性会直接影响到城市的管理和运营,因而就要输气管道的管理部门加强对管道风险的控制,并采取一定的风险防范措施,来对这种管道受损问题进行合理的控制。
二、新形势下天然气管网安全管理现状1.安全隐患排查工作不到位对日常的排查工作没有进行到位、对天然气管网检测不够仔细、出现问题时,没有得到及时的维修,致使安全隐患逐渐增多;燃气单位事故风险与安全风险是同时存在的,影响其的因素有多种,有很多燃气公司,更加注重于生产运营方面,在安全管理工作上不够重视,有关的防范机制没有得到完善,生产员工和技术人员缺乏应急方面管理知识、对器材使用不过熟练、风险应急能力水平不高。
2.缺乏定期检查工作的开展和执行很多施工单位在完成了燃气管道的施工之后,便结束了所有的工作,没有定期地开展检查工作。
在检查工作开展不到位的情况下,便无法及时的发现燃气管网在运行过程中存在的一些故障和问题,没有实现故障和问题的检查,就无法实现这些故障和问题的排查和维修,久而久之便产生了一定的安全隐患。
举个简单的例子来说,很多的燃气管网在使用了一段时间之后,都会出现焊接口初开缝、漏气、腐蚀等问题,倘若相关的检查人员可以定期地开展一定的检查工作,便可以实现问题的发现,并第一时间寻找改善问题和维修的方法和措施,而如今由于相关的检查工作的缺失,使得这些问题不能够被及时发现,时间久了之后,故障和问题越来越严重,进而导致燃气管网在运行的过程中存在着很多的隐患。
面向网络安全的主动防御技术的研究与应用随着计算机和互联网的广泛应用,网络安全问题越来越受到人们的关注。
网络攻击和病毒侵袭不仅造成了经济损失,还严重影响了国家和个人的安全。
为了保护网络安全,人们提出了许多防御策略,其中主动防御技术是一种非常有效的手段。
本文将介绍面向网络安全的主动防御技术的研究与应用。
一、什么是主动防御技术主动防御技术是指在网络攻击中预测攻击行为并采取措施防御的技术。
它与被动防御技术不同,被动防御技术只有在攻击行为已经发生后才采取措施,而主动防御技术可以在攻击行为发生前或中期采取措施,以阻止或降低攻击的影响。
主动防御技术主要包括威胁情报、漏洞管理、安全审计等方面。
二、主动防御技术的研究主动防御技术的研究主要包括三个方面:1.威胁情报威胁情报是指从互联网上收集并分析威胁信息的过程,用于预测网络攻击和病毒侵害的发生。
威胁情报的获取和分析是主动防御技术的基础,它可以帮助安全管理员评估网络中的安全风险并采取相应的防御措施。
2.漏洞管理漏洞管理是指对网络中的漏洞进行管理和修补的过程。
漏洞是指系统中可能存在被黑客利用的弱点,如果黑客攻击这些漏洞,就有可能入侵系统。
漏洞管理的目的是及时发现漏洞并进行修补,以避免漏洞被攻击者利用。
3.安全审计安全审计是指检查系统安全性的过程,以发现网络攻击和病毒侵害的痕迹。
安全审计的目的是及时发现网络攻击和病毒侵害,以便采取相应的措施防御。
三、主动防御技术的应用主动防御技术已经广泛应用于网络安全中,例如:1.威胁情报的应用通过威胁情报,可以对黑客攻击预测进行有效监控并透过情报来判断网络攻击的类型和攻击者的计划。
根据威胁情报分析结果,可以采取相应的防御措施,有效地减少攻击对网络带来的影响。
2.漏洞管理的应用漏洞管理可以通过漏洞扫描、漏洞修补及漏洞管理等方式,对系统中的漏洞进行管理和修补,系统的运行会更加安全可靠。
3.安全审计的应用通过安全审计,可以发现系统中的安全问题,例如入侵记录、恶意软件和非法访问等问题,并及时采取相应的防御措施,确保网络安全。
万方数据防火墙是网络安全的羼障。
一个防火墙(作为阻塞点、控铡点)麓极大缝提高一令内黧霹络静安金健,荠遥过过滤不安全的服务而降低风险。
出于双有经过梅心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
防火墙种类繁多,功能强火,用户可以檄据自已的需要选好适合自己的防火墙并蓝委确的配萋。
2。
2絮设正确的入侵舷测系统{lDS)入侵监测是指用于梭测系统中那些造背了安全策略或危及系统安金的行为或活动(内部和外部的攻击)。
架设一个入侵监测系统(IDs)是j器常必要的f2】。
lDS魁被动的,我{f1通常将{转S处子茨必碴之磊对溪络活魂邈行实时检测,目的怒让它可以监测我们嘲络上所有的包(Packets),并且捕捉熊睑或有恶意动作的信息包。
IDS是按指定的规则运行的,记录是庞火的,所以我们必须制定合适的规则对其进行正确的既置,如粜lDS没有正确的配置,其效果翔阏没有一样。
许多情篪一由予可瑷记录和禁盘雕络活动,所以入侵篮灏系统是防火墙的延续。
它们町以和防火墙和路由器配合工作。
IDS扫描当前网络的活动,监视和记录网络的流萤,根据定义好的规贝q来过滤从主机网卡到嘲线上的滤爨,提供实时报毽氛lDS麓移帮助系统对傣鼷终攻击,扩襞了臻缝管理虽故安金篱理麓力(包括安全审谴.监视、攻击识别稠响应),提高了佰息安全撼础结构的完整性。
2.3瘸簿防护软件瘸毒防护软件提供对计算枧病毒的防护。
病毒防护包括荤橇系统的防护纛l隧络系统酶防护。
单祝系统匏防护铡重予防护本地汁算机资源,而网络系统的防护侧重于防护网络系统资源。
计算机病毒防护产品是通过建立系统保护机制,预防、检测和消除病毒。
防病毒系统是用来实时检测病毒、蠕虫及最fl酶程痔,逶过不敷受额癍毒痒来清除上述箕有危害性的恶意{弋弼。
网络防病毒瑟有全方位、多层次防病毒、统一安装,集中管理、自动更新病毒定义库的特点。
瘸簿防护软件是我们见的最多,也用得最为普遍的安全技术方蹇,西为这种技术实现起来最为筒攀,但我们都知邋杀毒软髂酶主要功毙就楚壹杀病毒,疯蠢稳捡测是与其鑫努的规则密不可分的,功毹十分有限。
网络空间安全智能主动防御关键技术研究及应用作者:朱炫蓉颜春来源:《教育界·高等教育》2019年第04期【摘要】网络空间安全主动防御的理论模型和技术方法创新性研究,重点研究网络空间安全主动防御体系架构、关键工业信息基础设施系统、云计算服务平台、物联网及智能终端系统等安全主动防御共性关键技术,实现相关理论及关键共性技术的突破,推动网络空间安全创新技术与产品的攻关研发、实景试验和部署应用,发展网络空间安全产业。
【关键词】网络空间;主动防御;信息安全;智能;大数据;态势感知;网络攻击2016年,国务院印发了《“十三五”国家信息化规划》,从关键信息基础设施安全风险检测、威胁感知、持续防御能力等方面提出网络空间安全自主发展生态链规划,并启动了“网络空间安全”重点研发计划。
网络空间安全主动防御的理论模型和技术方法创新性研究,重点研究网络空间安全主动防御体系架构、关键工业信息基础设施系统、云计算服务平台、物联网及智能终端系统等安全主动防御共性关键技术,实现相关理论及关键共性技术的突破,推动网络空间安全创新技术与产品的攻关研发、实景试验和部署应用,发展网络空间安全产业。
一、网络空间安全智能主动防御技术研究已具备的基础(一)网络空间安全防御技术发展趋势网络空间的安全防御技术其核心技术是网络空间“恶意程序(代码)的辨识”技术,从样本比对技术向主动防御技术和人工智能、大数据技术方向发展。
网络空间安全防御技术发展经历三代。
第一代:基于特征码、规则的防御。
有恶意代码的已知样本和规则才能发现和清除病毒、木马等恶意代码,这一代防御技术称为被动防御技术(先有病毒样本才能查杀)。
如早前的瑞星、江民、金山毒霸等杀毒软件。
第二代:基于程序行为算法、人工智能算法的防御。
不依赖病毒特征库及样本,通过算法的方式实现对恶意程序的识别、防御及清除。
这一代防御技术能实现对未知恶意程序的防御,称为主动防御。
如美国新锐公司Cylance公司、中科慧创的主动防御系统PDS、中科慧创工控主动防御系统ICS-PDS。
网络攻防中的主动防御技术研究随着现代社会的高速发展,信息技术的发展也日新月异,信息安全已经成为大家共同的关注焦点。
然而,随着黑客攻击技术的日益复杂和攻击手段的不断创新,网络攻防环境也日益错综复杂,如何确保网络的安全已经成为业内的头号难题。
为此,主动防御技术的研究和应用愈发得到人们的关注。
一、主动防御技术的发展历程主动防御技术,是指主动地使用技术对攻击者发动反攻击的一种安全技术。
主动防御技术的发展历程可以追溯到上世纪八十年代中期,当时在美国军方首次出现了主动防御技术的概念和实现技术,将主动防御技术应用在武器或电子系统中,实现了战略上的攻击和防御。
而在二十世纪末,随着互联网业务的快速发展,网络攻击手段的层出不穷,主动防御技术开始逐渐被应用于网络安全领域。
随着互联网业务的日益增长,网络攻击的数量和种类也越来越多,主动防御技术也在不断地发展。
从最初的防守反击到后来的攻防平衡,再到现在的防守优先,主动防御技术的研究越来越完善,而且随着大数据、云计算、物联网等技术的发展,主动防御技术也得以更好地应用。
二、主动防御的技术原理主动防御技术主要通过识别攻击和防御程序来实现,一般可以分为以下三个步骤:1. 在网络中搜集威胁情报和攻击行为信息:通过对网络进行监控和调查,获取并分析网络中的威胁情报以及攻击行为信息,并将这些信息存储在安全信息与事件管理系统(SIEM)中。
2. 威胁情报分析:对搜集到的威胁情报进行分析,以确定威胁类型、攻击者的意图和攻击威胁的紧急程度等信息,为下一步的防御程序提供准确可靠的信息。
3. 实现自主防御:根据威胁情报和攻击行为信息,采取自动或半自动的技术手段来对威胁和攻击进行防御和反制,最大限度地减少威胁对网络安全的影响。
三、主动防御技术的应用领域主动防御技术的应用范围也非常广泛,比如在云安全、系统安全、网络安全、移动终端安全等各个领域都有着重要的应用。
具体而言,主要反映在以下几个方面:1. 云安全:在云计算环境中,主动防御技术可以帮助用户监控云计算平台的安全状态,及时识别并阻止各种恶意行为,保障云平台安全稳定运行。
2019年第15期(总第339期)教育界/ EDUCATION CIRCLE▲电教科技2016年,国务院印发了《“十三五”国家信息化规划》,从关键信息基础设施安全风险检测、威胁感知、持续防御能力等方面提出网络空间安全自主发展生态链规划,并启动了“网络空间安全”重点研发计划。
网络空间安全主动防御的理论模型和技术方法创新性研究,重点研究网络空间安全主动防御体系架构、关键工业信息基础设施系统、云计算服务平台、物联网及智能终端系统等安全主动防御共性关键技术,实现相关理论及关键共性技术的突破,推动网络空间安全创新技术与产品的攻关研发、实景试验和部署应用,发展网络空间安全产业。
一、网络空间安全智能主动防御技术研究已具备的基础(一)网络空间安全防御技术发展趋势网络空间的安全防御技术其核心技术是网络空间“恶意程序(代码)的辨识”技术,从样本比对技术向主动防御技术和人工智能、大数据技术方向发展。
网络空间安全防御技术发展经历三代。
第一代:基于特征码、规则的防御。
有恶意代码的已知样本和规则才能发现和清除病毒、木马等恶意代码,这一代防御技术称为被动防御技术(先有病毒样本才能查杀)。
如早前的瑞星、江民、金山毒霸等杀毒软件。
第二代:基于程序行为算法、人工智能算法的防御。
不依赖病毒特征库及样本,通过算法的方式实现对恶意程序的识别、防御及清除。
这一代防御技术能实现对未知恶意程序的防御,称为主动防御。
如美国新锐公司Cylance公司、中科慧创的主动防御系统PDS、中科慧创工控主动防御系统ICS-PDS。
第三代:基于大数据技术、数据挖掘技术的安全大数据分析防御技术。
第三代安全防御解决的是隐藏在网络空间中的攻击问题、APT(高级持续攻击)攻击问题。
如美国安全新锐公司火眼、novetta等知名公司。
(二)智能主动防御技术研发已有的基础1.基于程序行为识别算法技术的主动防御技术及系列产品成功研发并投入实际应用,积累了主动防御技术研发和在各应用环境应用的丰富经验。
面向电力系统网络安全的主动防御技术研究摘要:主动防御技术是电力系统网络安全防护中重要技术之一,直接关系着电力系统网络运行的高效性和稳定性,也是关系各个电力设备安全运行的重要保障。
本文将以电力系统网络安全中的各类主动防御技术为主要内容,分析造成电力系统网络脆弱因素,阐述在实际电力系统网络运行中常见的网络攻击类型,促进传统和新型主动防御技术在电力系统中的深入应用,为城市发展和人们生活提供安全的电力服务。
关键词:电力系统;网络安全;主动防御技术;研究前言:随着现代计算机与网络信息技术的不断发展,电力系统网络所受到的攻击数量和频率明显增长,已然对电力设备运行和能源供应产生了影响,特别是近年来新型网络攻击种类层出不穷,更是进一步对电力系统运行造成不可挽回的损坏,则在这种情况下,主动防御技术在电力系统网络安全防护中防御作用就显得尤为重要,不仅有效阻挡了大部分恶意攻击的侵入,还保障电力设备安全、稳定且经济的运行,更好的为电力市场提供能源与电力服务。
1.电力系统网络脆弱因素1.1分布式交互过程脆弱所谓分布式交互,即将电力系统网络运行中所涉及到的网络协议、数据信息、动态机制等,科学合理分布到各个网络子系统中,实现资源合理配置,但是在这一过程中,网络协议数量增加、中心结构负荷过重以及跨平台数据格式转变复杂三项问题,则造成分布式交互中出现协议之间矛盾内容过多,管理漏洞数量不断增加,主体结构瘫痪频率频繁,数据信息被大量篡改,致使整体分布式交互系统瘫痪,重要资源与数据大量丢失。
1.2应用集成与共享脆弱网络攻击者通常会利用应用集成与共享中数据传输脆弱性,建立大量恶意的环套环XML数据进入到系统中,系统形成循环性分析体系陷入到攻击陷阱中,无法正常运行原网络系统与系统指令,而攻击系统便会再利用系统运行中的集成运行、资源共享以及语义规范等问题,大量耗尽系统中有限资源,阻挡系统检测系统运作,实现对电力系统网络的侵占和控制。
2.常见的电力系统网络攻击2.1欺骗与嗅探欺骗与嗅探不同,前者是主动型攻击,网络攻击者为在正常网络运行状态下对电力网络系统进行攻击,其通过各种伪装手段与隐藏技术,给自己做了一个假的通行证,欺骗电力网络监控体系从而以正常访客的状态进入系统中,影响系统正常运行、窃取重要信息数据;而后者则是被动型攻击,其不能够同欺骗攻击一样可以随时攻击,其需要信息工具作为媒介,从计算机设备接口侵入系统然后等待特定的系统运行状态,攻击进入到系统运行内部,便可以对系统中所有的数据信息和运行处理进行监控,且因没有破坏性容易被系统检测系统忽略,容易实现网络系统入侵和实现数据信息窃取。
面向攻防对抗的网络安全主动防御体系研究摘要:网络安全的本质在对抗,对抗的本质在攻防两端能力较量。
本文引入纵深防御、主动防御和自适应防御思想,以攻防对抗为视角,以安全服务按需赋能为核心,站在企业整体高度,系统性地总结出一套面向攻防对抗的网络安全主动防御体系架构,通过“三大阶段、三个层级、八个动作”的“338”体系建设实现网络安全防御全周期的闭环运行,为提升信息系统安全保障能力提供参考。
关键词:网络安全,攻防对抗,主动防御一、网络安全形势分析当前,我国正在加速推进数字中国建设,数字化转型强化了经济社会发展对信息化技术的全过程依赖,容易造成牵一发而动全身的连锁风险。
从国际安全形势来看,全球网络空间对抗加剧,国家级网络攻击频次不断增加,攻击复杂性持续上升,网络博弈的目的、手段、烈度比以往更加多样化。
从行业发展态势来看,关键信息基础设施成为网络战的首选目标,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,也是可能遭到重点攻击的目标。
网络安全技术已经趋向于实战对抗的防护思路,网络安全体系建设逐渐从合规驱动型向攻防对抗驱动型转变。
本文以攻防对抗的视角,提出了一套面向攻防对抗的网络安全主动防御体系架构。
二、网络安全主动防御体系架构本文聚焦网络攻击攻防对抗前沿,跟踪研究主流网络安全防御理论和最佳实践,深入总结攻击者的攻击手法与攻击工具,以攻防对抗的视角,将网络安全主动防御体系建设分解为三大阶段、三个层级和八个动作。
“三大阶段”分为准备阶段、建设阶段和运营阶段。
“三个层级”分别为安全基础层、服务聚合层和管理决策层。
“八大动作”分别为统一基底、风险识别、安全加固、监测预警、应急响应、攻击溯源、治理改进、优化提升。
三、体系特征及内容阐释(一)准备阶段准备阶段需要完成“统一基底、风险识别、安全加固”三个动作,开展统一的安全防护设计,形成全网统一的安全防护基础;分析网络攻击的技术特征,提前认清网络安全风险;整改问题、加固系统以补齐安全短板,站在全局视角提升风险应对能力。
基于关键资源的主动防御体系的研究溪利亚1张志忠2(1.华中科技大学武昌分校计算机与电子系,湖北武汉430064;2.汉口银行信息科技部,湖北武汉430015)[摘要] 文章将关键资源和主动防御的思想引入到安全系统的设计中,提出了基于关键资源的主动防御体系实体(即APSKR实体)和APSKR引擎的概念,设计了一个基于关键资源的主动防御体系安全模型,并对安全总控中心进行了详细设计。
[关键字] 关键资源;主动防御;安全;APSKR[中图分类号] TP393[文献标识码] AResearch of Active Prevention System based on Key ResourcesLiyaXi1ZhizhongZhang2(1. Dept. of Computer & Electronic,Huazhong University of Technology Wuchang Branch,Wuhan 430064, Hubei;2. Information & Technology Division,Hankou Bank,Wuhan 430015,Hubei)Abstract:The article introduces key resources and the idea of active prevent into the design of security system, proposes the concepts of active prevent system entity(APSKR Entity) which bases on key resourcesand APSKR engine, designs a security model of active prevent system based on key resources and hasa detailed design of Security Command Central.Keywords:key resources; active prevent; security;APSKR0.引言随着广大网络用户的日渐成熟和网络安全技术的不断发展,用户越来越意识到网络安全的重要性。
为了防范网络攻击,很多用户都已经安装了防病毒、防火墙甚至入侵检测系统,然而,这层层防范却无法阻止入侵者的步伐,网络攻击事件层出不穷。
网络用户面临的普遍问题就是,巨大的安全保障投资得不到有效的回报。
分析目前广大用户普遍采用的安全防护措施(如:防火墙、入侵检测系统等),我们了解到大多安全防护措施都是在外围进行防范,运用预先设定好的策略对网络安全进行保护,实施的是被动防护,只能对已有的安全攻击进行防御。
在网络安全技术不断发展的今天,网络攻击也呈现出新的特征,新出现的、未知的攻击不断侵袭着原本已经不平静的网络,“瞬时攻击(Zero-day Attack)”这样具有动态攻击特征的攻击,正是我们安全问题的根源。
我们把目光直接瞄准寻找潜在的、新的攻击,找出延迟其破坏的方法,在类似“瞬时攻击(Zero-day Attack)”所引起的潜在威胁和破坏时,占据主动,从而有效地保障系统的安全,主动地对系统资源进行防护[1]。
考察目前所有网络攻击,可以发现其攻击的最终目的都是对系统关键资源的获取或破坏[1]。
一个有效的安全解决方案应该首先满足对关键资源实现重点保护的需要。
而需要提供安全保护的最关键的系统资源实际上就是驻留在主机和服务器上的敏感数据、关键文件、关键设备和关键进程等。
鉴于此,我们的主动防御是建立在关键资源的基础之上的。
1. 基于关键资源的主动防御体系任何一种单一的安全技术都不足以保障一个系统的安全。
要在最大程度上保护系统,就需要多种安---------------------------------作者简介: 溪利亚(1974-),性别(女),湖北武汉人,讲师,工学硕士,主要研究领域为网络安全,lucy_xz@;张志忠(1974-),男,工学硕士,网络工程师,主要研究领域为网络安全、软件工程。
全成员相互协作,共同作用。
我们将被动型安全工具、主动型安全防护措施以及基于关键资源的主机防护等,进行统一的安全规划,构建一个基于关键资源的主动防御体系。
体系中,利用主动型安全措施,对入侵企图进行取证,生成安全事件,最终在边界安全网关(防火墙)的作用下,在网络安全域边界阻断攻击源,从而达到对未知攻击方式的成功防范。
基于关键资源的主动防御体系是一个完整的安全体系。
它主要运用了主机安全技术、身份认证技术、访问控制技术和安全管理技术等。
其整体结构如图1所示。
图1 基于关键资源的主动防御体系安全总控中心作为所有安全处理单元之间的连接桥梁,在主动防御体系中起到了指挥、协调的作用。
安全总控中心左边的安全处理单元,包括入侵检测、网络陷阱、安全扫描和基于关键资源的主机防护系统等,是系统的监控和防护实体,主要用来监视系统网络目前所处安全状态和防范各种未知攻击。
位于安全总控中心右边的安全处理单元是系统的执行实体,用来执行网络安全策略,阻断已知的攻击,如:简单的包过滤防火墙或者是向系统安全管理者发送安全警报的告警设备。
在一个主动防御体系中,这些安全处理单元并不一定要全部具备,可以根据实际的需要来选择。
安全总控中心是整个安全模型的核心,实现集中的安全管理。
当它接收到来自安全处理单元(如入侵检测、基于关键资源的主机主动防护等)发送来的安全事件时,就将这些事件与预先定义好的安全策略进行匹配。
如果匹配成功,安全总控中心就按照匹配的安全策略启动相应的安全措施。
在整个安全模型中,安全审计系统作为一个独立的软件进行设计,它与其它的安全处理单元(如:防火墙、入侵检测系统、漏洞扫描系统等)互相协调、补充,保障网络的整体安全,是安全体系中一个重要部分。
安全审计主要涉及各安全处理单元日志的收集,根据安全策略进行基于时间和空间的综合分析,并将得到的结果以安全事件的形式发送给安全总控中心。
在基于关键资源的主动防御体系中,有多种网络安全处理单元。
这些安全处理单元的配置信息、安全策略以及所管理和维护的安全事件、日志各不相同。
为了对这些信息进行统一、标准地管理和维护,我们采用类似简单网络管理协议中管理信息库(MIB:Management Infomation Base)的形式对所设计到的信息进行统一、标准化地组织,以实现系统管理的灵活性和可扩展性。
同时,为了保障这些安全处理单元之间传递的管理控制信息的安全,我们运用了通信实体之间的身份认证和交换信息的机密性和完整性等安全技术。
身份认证方法主要有:基于共享密钥的简单三次握手(如:Chap协议)、基于可信第三方的认证(如:Kerberos协议)和基于公钥体制的认证(如:RSA),这里我们选择基于共享密钥的简单三次握手。
机密性主要是使用共享密钥的对称加密和采用公钥密码体制的非对称加密[2-3]。
完整性主要是使用[4]:①基于RSA的数字签名: m+E(m,Private);②加密的MD5: m+MD5(m+k)或m+MD5(m+k)+E(k,Private);③具有RSA数字签名的MD5:m+E(MD5(m),Private)。
其中:m表示消息;Private表示私钥;k表示共享密钥;E(m,Private)表示用私钥对消息进行加密;MD5(m+k)表示对消息和共享密钥用MD5算法生成消息摘要码。
2.基于关键资源的主动防御体系的实现基于关键资源的主动防御系统主要包括:基于关键资源的主机主动防护HAP(Host’s Active Prevention)、分布在各安全域边界的简单包过滤防火墙、集中的安全总控中心SCC(Security Command Central)等安全处理和协作单元。
2.1 APSKR实体本着简单、安全、高效和管理方便的原则,我们抽象各安全处理单元,比照SNMP v3协议,设计了一个基于关键资源的主动防御体系实体(即APSKR:Active Prevention System based on Key Resources 实体),其结构如图2所示。
APSKR实体由APSKR引擎和基于其上的应用程序组成。
APSKR引擎是安全实体的基础,其中的报文处理子系统负责实现安全实体之间信息交换的一致性;安全子系统负责安全实体间的通信安全;访问控制子系统实现实体间的访问控制。
图2 APSKR实体我们将Firewall APSKR实体、HAP APSKR实体和SCC APSKR实体进行统一地安全规划和组织,构建了一个基于关键资源的主动防御系统,如图3所示。
图3 基于关键资源的主动防御系统具体实现在整个系统中,安全总控中心维护安全策略库、配置库和安全日志库,负责与基于关键资源的主机主动防护、简单包过滤防火墙之间的认证、安全连接的建立、初始配置;负责对HAP和包过滤防火墙的管理;负责接收来自HAP的安全事件,根据安全策略库生成安全策略,并将安全策略发送给包过滤防火墙。
安全总控中心集中化的设计,简便、一致、可视、全面的安全事件管理功能,有效地降低了系统操作难度和管理成本,为构建完善的安全管理体系提供了有力的保障。
在该系统中,分布在各安全域边界的包过滤防火墙,按照事先初始化设置好的安全策略,对流经的网络数据流进行过滤。
HAP则对主机上的关键资源进行防护,实时检测和扫描与安全策略相悖的安全违规行为。
当HAP发现一个安全违规行为时,就终止与该行为相关的进程;同时,位于HAP中的安全事件发生器将产生一个包含该行为具体信息的安全事件,并将这个事件发送给SCC。
SCC接收到安全事件后,其策略生成器就对安全事件进行匹配。
如果匹配成功,SCC就生成相应的安全策略,并将安全策略发送给包过滤防火墙,从而阻断新的、瞬时的攻击;如果匹配不成功,则向安全告警设备发送警报,提示安全管理人员的应急处理,及时保障系统的安全。
2.2 SCC的实施安全总控中心由以下几部分组成:APSKR引擎、安全事件接收器、安全事件处理、命令/策略生成器和初始配置。
系统实时地对网络安全事件的处理如图4所示。
图4 网络安全事件的处理安全总控中心对APSKR实体的初始配置和统一管理的处理如图5所示。
图5 初始配置和统一管理的处理SCC对安全事件的处理流程,如图6所示。
在整个处理过程中,SCC的安全事件接收器在事先设定的端口监听来自HAP的安全事件。
当接收到一个告警事件时,SCC立即启动一个新的线程来处理这个事件;随后恢复到监听状态,以便接收下一个安全事件。
新启动的处理线程,首先从安全事件中提取事件摘要(如:事件发生时间、源地址、目的地址、攻击类型等),将摘要写入安全日志库;接下来,策略生成器按照安全事件摘要中的攻击类型,与所有安全策略库中的同类型策略相匹配,以确定该触发何种安全行为。
